Yeni bir kötü amaçlı yazılım yükleyicisi olan Latrodectus, keşfinden bu yana hızla gelişti ve potansiyel olarak IcedID’nin yerini aldı.
IcedID’yi indirmeye yönelik bir komut içerir ve muhtemelen tespit edilmekten kaçınmak için birden fazla yinelemeden geçmiştir.
Latrodectus kötü amaçlı yazılımı geçtiğimiz yıl içinde geliştiğinden ve birkaç ayda bir yeni sürümler yayınlandığından, bu sürümlerden yapılandırmaların çıkarılması, etkili tehdit tespiti için çok önemlidir.
Kötü amaçlı yazılımın dağıtım zinciri, son DLL yükünü teslim etmek için JavaScript ve MSI dropper’larını kullanarak tutarlı kaldı.
En son sürümde aynı adresi paylaşan ve aynı temel mantığı yürüten dört benzersiz dışa aktarma özelliğiyle, yükün kendisi de değişikliklere uğradı.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Latrodectus kötü amaçlı yazılım ailesi, PRNG tabanlı XOR’dan yuvarlanan XOR’a geçiş yaparak ve AES-256 CTR’yi benimseyerek şifre çözme yöntemlerini geliştirdi.
Ayrıca yeni komutlarla komuta ve kontrol yeteneklerini genişletti ve belirli kendi kendini silme tekniklerini kaldırdı.
Windows sürümünü numaralandırarak ve etkin işlem sayısı işletim sistemine özgü bir eşiğin altına düşerse sonlandırarak sanal alanlardan kaçınmak için bir işlem sayısı kontrolü kullanır.
VMRay Platformu bunu karşılayarak kullanıcıların analiz sırasında arka plan işlem sayısını ayarlamasına olanak tanır.
Kaçınma kontrolü, MAC adresi uzunluğunun 6 bayt olup olmadığını doğrular. Aksi takdirde, standart dışı MAC adresleri potansiyel tehditleri veya güvenlik açıklarını gösterebileceğinden program, yetkisiz erişimi önlemek için bir güvenlik önlemini sonlandırır.
Kötü amaçlı yazılım, PEB’in BeingDebugged bayrağını inceleyerek hata ayıklanıp ayıklanmadığını ve WOW64’te çalışıp çalışmadığını kontrol eder ve kontrol, öykünme senaryolarını tespit etmek için olabilir.
Latrodectus başlangıçta dize şifreleme için PRNG kullandı ancak daha sonra yuvarlanan XOR yöntemine geçti.
Şu anda, sabit kodlanmış bir anahtar ve değişken IV ile AES-256 kullanmaktadır. Şifrelenmiş dizeler, şifrelenmiş verilerden önce uzunluk ve IV bilgileri gelecek şekilde .data bölümünde saklanır.
Dosya adlarını ve işlev aktarımlarını sabit kodlanmış değerlerle karşılaştırarak CRC32 sağlama toplamlarını kullanarak DLL’leri ve API’leri çözer. Açık kaynaklı HashDB aracı bu karmaların tersine çevrilmesine yardımcı olabilir.
Kendini donanım kimliğini temel alan benzersiz bir dosya adıyla %APPDATA% klasörüne kopyalayarak, kullanıcı her oturum açtığında kötü amaçlı yazılımı çalıştıracak zamanlanmış bir görev oluşturmak için COM’u kullanır.
Ayrıca, yeniden bulaşmayı önlemek için sabit kodlanmış bir muteks kullanır ve her sürüm için benzersiz grup kimlikleri oluşturur; bu kimlikler, kampanya adını belirlemek için kaba kuvvetle uygulanabilecek bir FNV1a karması oluşturmak için kullanılır.
Büyük bir kelime listesi oluşturmak ve eşleşen karmayı bulmak için bu listeyi yinelemek için bir komut dosyası oluşturuldu.
VMray’e göre Latrodectus, birim seri numarasına ve sabit kodlanmış bir sabite dayalı benzersiz bir donanım kimliği oluşturma kullanan ve DarkSide ve diğer kötü amaçlı yazılımlarda gözlemlenen bir teknik kullanılarak kendi kendini silebilen yeni bir kötü amaçlı yazılım yükleyicisidir.
Belirli bir Kullanıcı Aracısı dizesini kullanarak C2 sunucusuyla iletişim kurar ve çeşitli parametrelerle RC4 şifreli verileri gönderir. C2 sunucusu, çeşitli kötü amaçlı etkinlikleri gerçekleştirmek için virüslü ana bilgisayara komutlar gönderebilir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!